SpringSecurity是一个为基于Spring的企业级应用提供声明式安全控制的安全框架。它利用Spring的特性,如IoC、DI和AOP,简化了应用系统的安全访问控制。本文详细介绍了SpringSecurity的配置方法,包括使用自定义登录页面、页面拦截规则及如何关闭CSRF。
pring Security框架:
定义: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
配置文件:
<http use-expressions="false">
<intercept-url pattern="/**" access="ROLE_USER" />
<form-login/>
</http>
<!-- 认证管理器 -->
<authentication-manager>
<authentication-provider>
<user-service>
<user name="admin" password="123456" authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
没有规定登录页面会用到框架自带的登录界面
想用自己的页面需要加
<http pattern="/login.html" security="none"></http>
<http pattern="/login_error.html" security="none"></http>
<!-- 页面拦截规则 -->
<http use-expressions="false">
<intercept-url pattern="/*" access="ROLE_USER" />
<form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>
<csrf disabled="true"/>
</http>
security=“none” 设置此资源不被拦截.
csrf disabled=“true” 关闭csrf ,如果不加会出现错误 (关闭CSRF(Cross-site request forgery)跨站请求伪造)
注意加上js,css等样式文件的拦截
<http pattern="css/**" security="none"></http>
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
